Insgesamt hat sich das Finanzsystem im Jahr 2024 als stabil erwiesen. In den vergangenen Jahren mussten die Unternehmen des Finanzsektors mit den Herausforderungen eines wechselnden Zinsumfelds umgehen. Dies haben sie überwiegend gut verkraftet. Allerdings: Die Konjunktur schwächelte und geopolitische Konflikte nahmen zu.

2025 könnte noch herausfordernder werden. Ökonomische Risiken könnten die Kreditbücher der Banken und Anlageportfolios der Versicherer noch stärker belasten als bisher.

Hinzu kommen die zunehmende politische Unsicherheit und die Tendenz, dass sich geopolitische Spannungen und Konflikte immer mehr in den digitalen Raum verlagern. So wächst die Zahl staatlich initiierter Cyber-Angriffe auf Unternehmen der kritischen Infrastruktur, zu der auch die Finanzindustrie zählt.

Solche Attacken können die Finanzstabilität erheblich gefährden. Auch, weil Unternehmen des Finanzsektors IT-Dienstleistungen mehr und mehr auslagern – und zwar auf wenige Dienstleister. Es entstehen riskante Abhängigkeiten und Konzentrationen.

Auf diese und auf weitere Entwicklungen müssen die Unternehmen vorbereitet sein. Die BaFin bereitet sich ebenfalls darauf vor: Sie analysiert laufend die Risiken für alle Marktteilnehmer sowie Verbraucherinnen und Verbraucher und reagiert darauf.

In den „Risiken im Fokus der BaFin 2025“ stellen wir zum vierten Mal die Risiken zusammen, welche die Finanzstabilität oder die Integrität der Finanzmärkte in Deutschland am meisten gefährden können. Mit ihnen werden wir uns in diesem Jahr prioritär befassen.

Insgesamt nehmen wir 2025 sechs Risiken besonders in den Fokus:

• Risiken aus Korrekturen an den Immobilienmärkten ⇨
• Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten ⇨
• Risiken aus dem Ausfall von Unternehmenskrediten ⇧
• Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen ⇧
• Risiken aus unzureichender Geldwäscheprävention ⇨
• Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen ⇧

Die Zinsänderungsrisiken führen wir erstmals nicht in den Risiken im Fokus auf. Der Hintergrund: Aufgrund des aktuellen Zinsniveaus Anfang 2025 und der Entwicklung der Inflation ist ein Zinsschock nach oben weniger wahrscheinlich geworden. Die erhöhten Zinsänderungsrisiken der Vergangenheit haben sich zum größten Teil abgebaut.

Die Reihenfolge der Risiken sagt nichts über deren Priorisierung aus. Die Trendpfeile symbolisieren die Entwicklung, welche die BaFin für die Zukunft erwartet (steigend, gleichbleibend oder sinkend).

Was die BaFin konkret unternimmt, um die sechs Hauptrisiken einzudämmen, beschreiben wir in den einzelnen Risikoportraits.

Neben den sechs Hauptrisiken ist der angemessene Umgang der Beaufsichtigten mit längerfristigen Trends wichtig. Dazu zählen „Digitalisierung“, „geopolitische Umbrüche“ und „Nachhaltigkeit“.

Auch für diese Ausgabe der „Risiken im Fokus“ der BaFin gilt: Nicht alle hier geschilderten Szenarien werden eintreffen, und es können neue Risiken entstehen. Die BaFin muss auch solche Risiken frühzeitig identifizieren und schnell reagieren.

Seit Mitte 2022 stehen die Gewerbe- und auch Wohnimmobilienmärkte unter Druck. Gewerbeimmobilienrisiken haben sich teilweise materialisiert. Die Folge: zum Teil erhebliche Wertberichtigungen und Abschreibungen auf Exposures bei einigen Banken und Versicherern.

Die Lage am deutschen Gewerbeimmobilienmarkt, zu dem auch die gewerblichen Wohnimmobilien zählen, blieb 2024 angespannt. Das zeigte sich zunehmend an steigenden Quoten notleidender Kredite (Non-Performing-Loans – NPLs) der deutschen Kreditinstitute, also der bedeutenden Institute (Significant Institutions – SIs) und der weniger bedeutenden Institute (Less Significant Institutions – LSIs). Am Wohnimmobilienmarkt zeigten sich ab Mitte 2024 deutliche Anzeichen für einen Rückgang der Risiken.

Gewerbeimmobilien

Insgesamt betrachtet sind die Risiken aus dem Gewerbeimmobilienmarkt für die Finanzstabilität weiterhin erhöht. Für sich genommen dürften sie aber die Funktionsfähigkeit des Finanzsystems nicht gefährden. Dennoch können einzelne Institute durch größere Kreditausfälle in ihrem Portfolio stark belastet werden. Für von der BaFin beaufsichtigte Unternehmen besonders wichtig sind der deutsche und der US-amerikanische Immobilienmarkt.

Banken mit einem Schwerpunkt in der Finanzierung von Gewerbeimmobilien, die Verluste in diesem Segment unter Umständen nicht durch andere Geschäftsfelder kompensieren können, und Projektentwickler unterliegen somit wegen ihrer spezifischen Geschäftsmodelle einem erhöhten Risiko.

Preisrückgänge vorerst gestoppt, Neugeschäft stockt weiterhin

Gewerbeimmobilienkredite haben eine hohe Bedeutung für den deutschen Bankensektor. 2024 machten sie gut 9 Prozent der aggregierten Bilanzsumme der deutschen Banken aus. Die Preise für Büroimmobilien und Einzelhandelsimmobilien sind, gemessen am vdp-Immobilienpreisindex, von Mitte 2022 bis zum dritten Quartal 2024 um etwa 17 Prozent gefallen, die Preise für gewerbliche Wohnimmobilien um etwa 8 Prozent.

Seit Anfang 2024 hat sich die Preisentwicklung von deutlich niedrigem Niveau aus ein wenig erholt. Der Gewerbeimmobilienmarkt wies Ende 2024 aber noch keine stabile Tendenz auf und blieb fragil (siehe Abbildung 1).

Abbildung 1: Preise für Gewerbeimmobilien in Deutschland nach zentralen Objekttypen

Quelle: Verband deutscher Pfandbriefbanken (vdp) e. V., BaFin-eigene Darstellung, Stand: 26. November 2024

Transaktionsvolumen und Neukreditgeschäft weiter auf niedrigem Niveau

Der deutsche Gewerbeimmobilienmarkt wurde 2024 insbesondere durch das schwache Wirtschaftswachstum, hohe Zinsen, hohe Baukosten und die noch hohe Kerninflation belastet. Daneben trübten die gestiegenen Home Office-Quoten und der Online-Handel schon länger den Gewerbeimmobilienmarkt. Diese Faktoren, die das Angebot und die Nachfrage auf dem Gewerbeimmobilienmarkt bestimmen, sowie das geringe Transaktionsvolumen lassen weitere Preisrückgänge möglich erscheinen.

In den USA sind seit März 2022 die Preise am Gewerbeimmobilienmarkt um etwa 19 Prozent gefallen. Vor allem die Preise von Büroimmobilien stehen mit einer durchschnittlichen Leerstandsquote von etwa 21 Prozent unter Druck. Insbesondere eine immer noch hohe Kerninflation und dementsprechend – trotz kürzlicher Senkungen – hohe Zinsen sorgen dafür, dass die Situation angespannt bleibt.

Diese Entwicklungen spiegelten sich auch in der Vergabe von Krediten für Gewerbeimmobilien wider. Das Neukreditgeschäft in den drei zentralen Gewerbeimmobilienteilmärkten – also Büroimmobilien, gewerbliche Wohnimmobilien und Einzelhandelsimmobilien – konnte sich von dem Einbruch im vierten Quartal 2022 noch nicht nachhaltig erholen und blieb 2024 im historischen Vergleich schwach (siehe Abbildung 2).

Abbildung 2: Entwicklung des Neukreditgeschäfts für Gewerbeimmobilien in Deutschland nach zentralen Objekttypen

Verband deutscher Pfandbriefbanken (vdp) e. V., BaFin-eigene Darstellung, Stand: 26. November 2024

Kreditqualität verschlechtert sich weiter

Risiken für Kreditinstitute bestehen vor allem in der Kombination aus Kreditausfällen und sinkenden Werten von Sicherheiten. Seit Ende 2022 stieg die NPL-Quote für mit Gewerbeimmobilien besicherte Kredite vor allem bei den SIs aufgrund des relativ hohen US-Gewerbeimmobilien-Exposures spürbar, die NPL-Quote aller deutschen Institute in diesem Portfolio verdoppelte sich von einem niedrigen Niveau aus innerhalb von 18 Monaten nahezu. Der Anstieg der NPL-Quoten in den Gewerbeimmobilienkreditportfolios aller deutschen Banken setzte sich fort: Im dritten Quartal 2024 lag sie im Aggregat bei 4,47 Prozent. Als Reaktion auf diese Entwicklungen haben SIs und LSIs ihre Risikovorsorge für Gewerbeimmobilienkreditbestände stark erhöht – insbesondere gegen Ende 2023. Im ersten Halbjahr 2024 stieg sie weiterhin leicht.

Besonders risikobehaftet sind Anschlussfinanzierungen von (Bestands-)Krediten. Mehr als die Hälfte des Volumens der noch laufenden Kredite wies Ende 2024 Zinsen unter 3 Prozent auf. Allein 2025 und 2026 stehen für 100 Milliarden dieser Gewerbeimmobilienkredite Verhandlungen über die Anschlussfinanzierungen an. Dies macht etwa 10 Prozent des gesamten Gewerbeimmobilienkreditvolumens aus.

Auch Kredite für Projektentwickler bergen hohe Risiken für Banken: Projektentwickler gehen mit ihrer Investition in Vorleistung. Die den Markt belastenden Faktoren wie hohe Zinsen führen dazu, dass Objekte weniger nachgefragt oder gar nicht realisiert werden. Eine geringere Rendite oder Schwierigkeiten bei der Tilgung des Investitionskredits können die Folge sein. Für die Kreditgeber besteht dann ein erhebliches Kreditausfallrisiko.

Die möglichen direkten Folgen aus der Insolvenz der Signa-Gruppe führen voraussichtlich bei keiner deutschen Bank – auch ohne Berücksichtigung von Sicherheiten – zu einer Verletzung der harten Kapitalanforderungen.
Der gestiegene Anteil der gemeldeten notleidenden Kredite sowie die höhere Risikovorsorge machen deutlich, dass sich die Risiken in Gewerbeimmobilienmarkt zunehmend materialisieren. Die schwierige Marktsituation wird die Erträge der Banken in diesem Segment noch für einen längeren Zeitraum belasten.

Versicherer und Pensionskassen

Das Gewerbeimmobilien-Exposure der Versicherer hat in den vergangenen Jahren leicht zugenommen – vor allem in ihrem indirekt über Immobilienfonds gehaltenen Bestand. Innerhalb der Kapitalanlagen der Versicherer, die unter Solvency II fallen, lag das Gesamtexposure in Gewerbeimmobilien im zweiten Quartal 2024 bei knapp 164 Milliarden Euro. Damit machten Investitionen in Gewerbeimmobilen etwa 8 Prozent der gesamten Kapitalanlagen aus. Pensionskassen waren mit einem Anteil von etwa 12 Prozent stärker in Gewerbeimmobilien investiert.

Eine repräsentative Erhebung der BaFin zum Kapitalanlageverhalten der Versicherer und Pensionskassen aus dem Jahr 2024 zeigt, dass die befragten Unternehmen zum 31. Dezember 2023 im Vergleich zum Jahresendwert 2022 ihren Bestand an (überwiegend) gewerblich genutzten Immobilien, vor allem Büroimmobilien, um etwa 7 Prozent abwerteten. Bei der Finanzierung von Immobilien(-projekten) betrug die Anpassung 11,5 Prozent.

Auch wenn sich im Einzelfall Risiken materialisieren, scheint das Risiko für die Versicherungsbranche beherrschbar. Ein wesentlicher Grund hierfür ist, dass das Gewerbeimmobilienrisiko für Versicherer gemessen an der Gesamtbilanz von nachgelagerter Bedeutung ist, wenn man es mit anderen Marktrisiken vergleicht – etwa mit Zins- und Spread-Risiken für Lebensversicherer oder versicherungstechnischen Risiken für Nicht-Lebensversicherer.
Einige Versicherer haben in der Vergangenheit direkt oder indirekt über Fonds in Immobilien-Projektentwickler investiert, auch in die insolvente Signa-Gruppe. Aufgrund der Insolvenz einzelner Immobilienunternehmen kam es zu Verlusten. Diese Erfahrung zeigte, dass die Versicherer ihr Risikomanagement anpassen müssen. Komplexere und risikoreichere Investitionen erfordern ein darauf ausgerichtetes Risikomanagement und eine angemessene personelle Ausstattung.

Immobilienfonds

Deutsche Kapitalverwaltungsgesellschaften (KVGen) machen mit mehr als 30 Prozent einen großen Anteil am europäischen Markt für offene Immobilienfonds aus. Publikumsfonds verzeichneten seit Anfang 2024 anhaltende Nettomittelabflüsse. Diese könnten den Verkaufsdruck und damit den Preisrückgang für Gewerbeimmobilien weiter verschärfen. Bei Spezialfonds gab es bisher keine nennenswerten Nettomittelabflüsse.

Im Jahr 2024 war im Markt grundsätzlich genug Liquidität bei den Immobilienfonds vorhanden. Offen ist, ob dies so bleibt, oder ob sich einzelne Fonds Liquiditätsengpässen ausgesetzt sehen werden. KVGen können, soweit bei konkreten Fonds vorhanden, Liquiditätsmanagementtools wie Rückgabefristen und Rücknahmebeschränkungen bzw. Mindesthaltefristen nutzen, um die Liquidität der von ihnen verwalteten offenen Investmentvermögen besser zu steuern.

Bei einer jährlichen Abfrage der BaFin zu Liquiditätsmanagementtools zum 31. Dezember 2023 zeigte sich, dass bei etwa 80 Prozent der Spezial-Immobilienfonds Regelungen zu Rückgabefristen bestehen und die vereinbarte Rückgabefrist meist sechs Monate beträgt. Für Publikum-Immobilienfonds bestehen gesetzliche Mindesthaltefristen (24 Monate) und Rückgabefristen (12 Monate). Die Maßnahmen sollen präventiv wirken, bevor KVGen gezwungen sind, die Anteilscheinrücknahme vollständig auszusetzen. Davon machten im Jahr 2024 allerdings bis September nur drei Spezialfonds Gebrauch.

Um die im jahrelangen Niedrigzinsumfeld schwache Zinsmarge zu kompensieren, hatten einzelne Banken alternative Ertragsquellen erschlossen und dabei unter anderem Eigeninvestitionen in Immobilien deutlich ausgebaut. Bei Sparkassen und Genossenschaften betrug 2023 der Anteil an der Bilanzsumme über 3 Prozent. Ein wesentlicher Anteil der Eigeninvestitionen entfiel auf Immobilienfonds: Ende 2023 hielten deutsche Banken etwa 57 Milliarden Euro in Immobilienfonds Der anhaltende Abschwung an den Immobilienmärkten im In- und Ausland führte 2023 zunehmend zu Abwertungen bei Immobilienfonds und zu Abschreibungsbedarf bei den betroffenen Instituten.

Wohnimmobilien

Auch auf dem Wohnimmobilienmarkt wirkten sich die gestiegenen Zinsen und die hohe Inflation seit 2022 auf die Preise aus. Ein Teil der in den Vorjahren entstandenen Überbewertungen wurde dadurch abgebaut. Im Verlauf des Jahres 2024 zeigten sich am Wohnimmobilienmarkt deutliche Anzeichen für einen Rückgang der Risiken.

Stabilisierung fortgeschritten, aber noch nicht abgeschlossen

Nachdem die Preise für selbstgenutztes Wohneigentum von 2022 an im Bundesdurchschnitt relativ stark gesunken waren, stabilisierte sich der Wohnimmobilienmarkt im Verlauf des Jahres 2024 zunehmend. Die Preise begannen wieder, leicht zu steigen (siehe Abbildung 3).

Gemäß des vdp-Immobilienpreisindexes verlief dieser Prozess in den Top-7 Städten – also in Berlin, Hamburg, München, Köln, Frankfurt am Main, Stuttgart und Düsseldorf – etwas schneller als landesweit. Aus Daten der Transaktionsplattform Europace geht bei segmentspezifischer Betrachtung eine besonders positive Tendenz bei Bestandshäusern hervor. Insgesamt waren Bestandsbauten im November 2024 rund 3,9 Prozent teurer als im Januar 2024 (Gesamtmarkt 2,9 Prozent), obwohl sie während des Marktabschwungs ab 2022 besonders von Preisrückgängen betroffen gewesen waren, während sich die Preise für Neubauten relativ stabil zeigten. Die im Vergleich zu der Preisentwicklung von Neubauten stärkere positive Tendenz bei Bestandsbauten ist unter anderem auf den anhaltenden Anstieg der Baukosten zurückzuführen, der die Nachfrage nach Neubauten gedämpft hat, während Bestandsbauten in Relation dazu sukzessive wieder wirtschaftlich attraktiver wurden.

Abbildung 3: Preise für Wohnimmobilien in Deutschland

1 Transaktionsgewichtet. Berechnungen der Bundesbank auf Basis von Preisangaben der bulwiengesa AG. Daten sind vierteljährlich. Quelle: Deutsche Bundesbank, BaFin-eigene Darstellung, Stand: 30. September 2024

Die Neukreditvergabe war bis Ende 2022 um bis zu 50 Prozent eingebrochen. Seitdem erholte sie sich zunehmend, wenn auch auf (noch) niedrigem Niveau. In den Monaten Januar bis November 2024 wurden rund 22 Prozent mehr Wohnungsbaukredite an private Haushalte vergeben als im Vorjahreszeitraum in 2023. Die jährliche Wachstumsrate für den Bestand an Wohnungsbaukrediten an private Haushalte, die in den Jahren zuvor gesunken war, stabilisierte sich 2024 und belief sich in den ersten beiden Quartalen jeweils auf 0,9 Prozent und im dritten Quartal auf 1,0 Prozent.

Abbildung 4: Wachstumsraten von Wohnungsbaukrediten inländischer Banken*

* Angaben um statistisch bedingte Veränderungen bereinigt. 1) Einschl. Selbständigen und Einzelkaufleuten. 2) Ohne Selbständige und Einzelkaufleute. Quelle: Berechnungen der Bundesbank, Stand 30. September 2024

Kreditrichtlinien leicht gestrafft, Verlustraten auf niedrigem Niveau

Banken haben in den ersten drei Quartalen 2024 ihre Vergabestandards für private Wohnungsbaukredite im Vergleich zum jeweiligen Vorquartal leicht gestrafft, wie die Deutsche Bundesbank in ihrem Bank Lending Survey für Deutschland von Oktober 2024 zeigt.

Die Verlustraten – also das Verhältnis aus den Verlusten aus Kreditgeschäften zu den ausstehenden, durch Wohnimmobilien besicherten Krediten – bewegten sich auf niedrigem Niveau. Sie blieben 2023 – anders als bei Gewerbeimmobilien – gegenüber dem Vorjahr konstant. Auch die Wertberichtigungen der Kreditgeber für laufende Finanzierungen waren weiter moderat: Im dritten Quartal 2024 lag die Kreditrisikovorsorge für mit Wohnimmobilien besicherte Kredite an private Haushalte bei 1,16 Prozent und damit leicht über dem Durchschnitt der Vorquartale. Die Kreditrisikovorsorgequote beschreibt das Verhältnis von Kreditvorsorgebeständen zum Kreditbestand. Eine Ursache für den leichten Anstieg der Kreditrisikovorsorgequote lag in den höheren Zins- und Tilgungsleistungen, die bei Anschlussfinanzierungen zu Problemen führen können.

Der positive Trend am Wohnimmobilienmarkt basiert auf einem latenten Nachfrageüberhang. Frühere Preissenkungen, Reallohnsteigerungen und der Rückgang der Hypothekenzinsen in der jüngeren Zeit haben Wohnimmobilien bereits etwas erschwinglicher gemacht. Soweit sich diese Tendenz fortsetzt und gleichzeitig die Lage am Arbeitsmarkt stabil bleibt, könnte sich die am Mietmarkt spürbare Nachfrage auch wieder bei der Nachfrage nach Wohneigentum bemerkbar machen und den Markt nachhaltig stabilisieren. Sollte sich die Konjunktur hingegen weiter eintrüben und dadurch die Arbeitslosigkeit erheblich steigen, besteht die Gefahr von Rückschlägen und zunehmenden Kreditausfällen.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

An den internationalen Finanzmärkten gab es 2024 einige volatile Phasen, insgesamt haben sich die Märkte aber als stabil erwiesen. 2025 könnten verschiedene Entwicklungen, erst Recht in Kombination, zu Korrekturen an den Finanzmärkten führen: Steigende geopolitische Spannungen und politische Unsicherheiten, die hohen Staatsschuldenquoten vieler Industrienationen und die Entwicklung von Inflation und Wirtschaftswachstum.

Die Geldpolitik wichtiger Notenbanken ist seit dem zweiten Halbjahr 2024 angesichts sinkender Inflationsraten weniger restriktiv. Während die Europäische Zentralbank (EZB) ihre Zinswende bereits Mitte des Jahres eingeleitet hat, folgte die Zinssenkung der US-amerikanischen Notenbank Federal Reserve im September 2024. Die Marktteilnehmer hatten die Zinssenkungen erwartet; weitere Zinsschritte sind bereits eingepreist. Die Zinssenkungen führen je nach Bilanzierung zu Bewertungsgewinnen bzw. dem Rückgang von stillen Lasten.

Einbrüche durch Rückabwicklung von Carry Trades

Anfang August 2024 kam es – ausgelöst durch eine leichte Erhöhung der Leitzinsen durch die japanische Notenbank in Kombination mit als schlecht wahrgenommenen Arbeitsmarktdaten aus den USA – zu kurzzeitigen Einbrüchen an den globalen Finanzmärkten. Maßgeblich verursacht wurden die Einbrüche durch die Rückabwicklung sogenannter Carry Trades.

Der Hintergrund: Im Niedrigzinsumfeld war die Verschuldung in Yen für internationale Anleger und ausländische Staaten zu Zinssätzen nahe null attraktiv, um in höher verzinsliche Anlagen zu investieren. Mit dem Zinsanstieg lösten die Anleger ihre Yen-Schulden zunehmend auf, wodurch die japanische Währung aufgewertet hat. In den Anlageklassen, in denen die Investoren mittels der Carry Trades investiert waren, kam es auf diese Weise zu starken Kurseinbrüchen.

Die Verluste dieser Marktbewegungen wurden innerhalb kurzer Zeit weitgehend wieder aufgeholt. Trotzdem zeigt der Vorfall, dass der Markt sehr volatil ist – insbesondere dann, wenn hohe Volumina gehalten werden und bei Anlegerinnen und Anlegern ein (gegebenenfalls auch irrationaler) Herdentrieb einsetzt. Die Datenlage dazu ist zwar eingeschränkt, jedoch legt die Stärke der Marktturbulenzen infolge der Auflösung von Carry Trades außerdem den Schluss nahe, dass ein Teil der auf diesen Konstrukten basierenden Investments hoch gehebelt ist. Hierdurch steigt die Volatilität weiter.

Risiken durch hohe globale Staatsverschuldung

Auch die in vielen Staaten hohe Staatsverschuldung birgt Risiken für das weltweite Finanzsystem. Durch die Zinserhöhungen in den vergangenen Jahren sind die Finanzierungskosten gestiegen. Insbesondere bei höher verschuldeten Staaten stieg in der Folge das Ausfallrisiko, und ihre Bonität sank. An den Märkten spiegelten dies die steigenden Risikoprämien bei Staatsanleihen dieser Länder wider. 2024 betraf dies auch einzelne Staaten der Eurozone. Künftig könnten die Staatsanleihen der USA ebenfalls unter Druck geraten, wenn Zweifel an der Schuldentragfähigkeit entstehen.

Im schlimmsten Fall könnte die hohe Staatsverschuldung mancher Länder zu erheblichen Verwerfungen an den Anleihe- und Aktienmärkten führen. Das deutsche Finanzsystem und die Realwirtschaft wären dann möglicherweise von Ansteckungseffekten betroffen, insbesondere aufgrund der internationalen Verflechtungen deutscher Banken und Versicherer.

Risiken bei Anleihen

Die Zeitwerte von Anleihen stabilisierten sich 2024 auf niedrigem Niveau (siehe Abbildung 5). Durch die Zinssenkungen und aufgrund gesunkener Inflationserwartungen der Anleger stiegen die Kurse von langfristigen Anleihen ab dem dritten Quartal 2024 wieder leicht.

Abbildung 5: Marktbewertung festverzinslicher Wertpapiere im Zeitverlauf

Quelle: Refinitiv Datastream, BaFin-eigene Darstellung, Stand: 9. Dezember 2024.

Gleichwohl bestehen weiterhin Kursrisiken. Banken und Sparkassen halten signifikante Positionen in Anleihen. Der Stresstest 2024 von BaFin und Deutscher Bundesbank bei weniger bedeutenden Instituten (Less Significant Institutions – LSIs) zeigte, dass Marktwertverluste bei Anleihen zu einem Kapitalverzehr von knapp 2,5 Prozentpunkten führen würden – ausgehend von einer harten Kernkapitalquote von 18,2 Prozent im Jahr 2023.

Versicherer verfügen ebenfalls über materielle Exposures in Unternehmens-, Bank- und Staatsanleihen. So lag der Anteil von Bankanleihen und Einlagen bei Banken der deutschen Versicherer, die unter Solvency II fallen, Mitte 2024 bei circa 16 Prozent. Etwa 8 Prozent der gesamten Kapitalanlagen im Bestand dieser Versicherer entfielen auf Anleihen mit dem Rating BBB.

Einbruch an Aktienmärkten kann auch Banken und Versicherer direkt betreffen

An den Aktienmärkten stiegen die Kurse im ersten Halbjahr 2024 auf breiter Front. Im dritten Quartal flachte sich diese Bewegung zu einem Seitwärtstrend ab. Im vierten Quartal 2024 entwickelten sich die Aktienmärkte positiv und setzten den vorherrschenden Aufwärtstrend des Jahres 2024 weiter fort. Der deutsche Leitindex DAX überschritt erstmals die 20.000 Punkte-Marke, in den USA erreichten der S&P500 und Nasdaq 100 neue Allzeithochs.

Signifikante Korrekturen an den Aktienmärkten können für Versicherer und Banken ein Risiko darstellen. Allerdings ist der Anteil von Aktien am Gesamtanlagebestand der Versicherer relativ gering. Er lag im Branchendurchschnitt zum 30. Juni 2024 bei etwa 4 Prozent.

Bei deutschen Banken ist der Aktienanteil im Eigenbestand (Depot A) der Institute gemessen an ihren Gesamtaktiva ebenfalls sehr gering. So halten deutsche LSIs laut des LSI-Stresstests 2024 ein fast 30-fach höheres Volumen in Anleihen als in Aktien. Das zeigt sich auch daran, dass sich im Stresstest Kurseinbrüche an den Aktienmärkten nur geringfügig auf die Kapitalausstattung der Banken auswirkten.

Weiter zunehmende Relevanz von Nichtbank-Finanzintermediären

Nichtbank-Finanzintermediäre (NBFIs), wie zum Beispiel Asset Manager und Fondsgesellschaften sowie Versicherer und Pensionseinrichtungen gewinnen gegenüber dem Bankensektor weiter an Bedeutung. Laut dem Finanzstabilitätsbericht 2024 der Bundesbank stellen NBFI im Euroraum rund 40 Prozent der Finanzierung der Realwirtschaft bereit. Sie halten rund die Hälfte der finanziellen Aktiva im Euroraum – dieser Anteil hat sich seit der globalen Finanzkrise um 18 Prozentpunkte erhöht. In Deutschland halten NBFIs rund 40 Prozent der finanziellen Aktiva des Finanzsystems, ein Zuwachs von 15 Prozentpunkten seit 2009.

Zugleich blieben die mit dem NBFI-Sektor verbundenen Risiken weiter aktuell, vor allem die Risiken aus übermäßiger Verschuldung und abrupter Liquiditätsabflüsse, welche zu Fire Sales führen können. Der Grad der Verschuldung im NBFI-Sektor ist oft nicht transparent. Besonders verwundbar sind offene Investmentfonds, da die Laufzeiten der Vermögenswerte deutlich länger als die Laufzeiten der Verpflichtungen sind. Notverkäufe werden dadurch wahrscheinlicher. Für deutsche offene Immobilienfonds gibt es Halte- und Rückgabefristen, die dieses Risiko abschwächen. Trotzdem kann es dazu kommen, dass die Rücknahme von Fondsanteilen ausgesetzt wird, zum Beispiel bei nicht ausreichender Liquidität im Fonds.

Die starke Vernetzung zwischen Banken und dem NBFI-Sektor birgt zudem das Risiko gegenseitiger Ansteckungseffekte. Eine beschleunigte Informationsverbreitung und der Einsatz von Algorithmen und Künstlicher Intelligenz im Handel erhöhen das Risiko, dass sich gleichgerichtete Effekte verstärken.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Die Lage der deutschen Wirtschaft blieb 2024 herausfordernd. Die Wirtschaftsleistung in Deutschland sank bereits im Jahr 2023 um 0,3 Prozent. 2024 ging die Konjunktur um 0,2 Prozent zurück. Für 2025 erwartet der Sachverständigenrat ein leichtes Wirtschaftswachstum um 0,4 Prozent.

Angesichts des schwachen wirtschaftlichen Umfelds ist zu erwarten, dass der Anteil notleidender Kredite zunimmt.

Der Stresstest von BaFin und Deutscher Bundesbank mit weniger bedeutenden Instituten (Less Significant Institutions – LSIs) in Deutschland zeigt, dass diese grundsätzlich solide aufgestellt sind. Doch Institute mit geringen Eigenkapitalpuffern, die bisher zu wenig Risikovorsorge gebildet haben, wären bei Kreditausfällen stärker bedroht. Eine mittlere zweistellige Zahl von Instituten läge bei einem deutlichen wirtschaftlichen Abschwung unterhalb der aufsichtlichen Kapitalanforderung.

Getrübte Stimmung in der Wirtschaft

Im Jahr 2024 wirkten sich geopolitische Konflikte immer wieder auf die Lieferketten aus. Zwar ist die akute Gefahr einer Energiekrise gebannt. Problematisch waren aber weiterhin die im internationalen Vergleich hohen Energiekosten, die deutsche Unternehmen belasteten. Betroffen waren vor allem energieintensive Branchen wie die Chemieindustrie sowie die Papier- und Glasherstellung. Die Industrie durchlief zugleich einen Strukturwandel: Gründe hierfür waren insbesondere die Transformation zu einer klimaneutralen Wirtschaft und die veränderten internationalen Handelsbeziehungen. Besonders deutlich wurde das bei der Autoindustrie. Diese Entwicklungen dürften auch 2025 relevant sein.

Im Jahr 2024 waren weltweit zunehmend protektionistische und isolationistische Tendenzen zu beobachten. Die exportabhängigen Unternehmen litten unter den zunehmenden Handelshindernissen und geopolitischen Spannungen. Insbesondere ein weitergehender Handelskonflikt zwischen den USA und China wäre für die Weltwirtschaft, aber vor allem für Europa mit erheblichen direkten und indirekten Folgen verbunden. Ebenso hätten die von der künftigen US-Regierung avisierten Importzölle auf deutsche und EU-Waren unmittelbare Auswirkungen auf die Wirtschaft.

Ausfallrisiken für Banken steigen

Die Unternehmensinsolvenzen nahmen zu (siehe Abbildung 6). Ende des 3. Quartals 2024 lagen die beantragten Regelinsolvenzen um 13,7 Prozent über dem Vorjahreswert. Besonders betroffen waren das Sozial- und Gesundheitswesen, das Grundstücks- und Wohnungswesen und das verarbeitende Gewerbe.

Abbildung 6: Unternehmensinsolvenzen in Deutschland

Quelle: LSEG Datastream, BaFin-eigene Darstellung, Stand: Dezember 2024

Dementsprechend ist das Risiko erhöht, dass Kredite an Unternehmen teilweise oder vollständig ausfallen. Dies führt zu einer effektiven Neubewertung der Kreditrisiken. Die Wertberichtigungen in den Kreditportfolien der Banken waren im vierten Quartal 2023 stark gestiegen. Der Anstieg war zu relevanten Teilen auf Gewerbeimmobilienkredite zurückzuführen (vgl. Risiken im Fokus 2024). Seitdem stieg die Quote notleidender Kredite (Non-Performing loans – NPL) leicht. Diese Entwicklung setze sich auch in dritten Quartal 2024 fort.

Die Kreditrisikovorsorge deutscher Banken stieg weiter, wenn auch auf niedrigem Niveau. Bei den LSIs stieg sie stärker als bei den SIs) (siehe Abbildung 7). Im Aggregat betrug die Kreditrisikovorsorgequote im 3. Quartal 2024 1,41 Prozent.

Abbildung 7: Entwicklung der Kreditrisikovorsorge deutscher Banken

Quelle: Gemeinsame Berechnung von Deutscher Bundesbank und BaFin auf Basis von FINREP, Stand: 30. September 2024

Im Aggregat stieg die Quote notleidender Kredite (Non-Performing loans – NPL) bei deutschen Instituten seit dem 3. Quartal 2023 bis zum 3. Quartal 2024 von 1,38 Prozent auf 1,76 Prozent an (siehe Abbildung 8), bewegt sich aber weiterhin auch im internationalen Vergleich auf niedrigem Niveau. Diese Entwicklung war sowohl bei den SIs als auch bei den LSIs zu beobachten. Aufgrund der anhaltend schwachen Konjunktur und schlechten Marktlage bei gewerblichen Immobilien ist ein weiterer Anstieg notleidender Kredite zu erwarten.

Abbildung 8: Entwicklung der NPL-Quoten deutscher Banken

Quelle: Gemeinsame Berechnung von Deutscher Bundesbank und BaFin auf Basis von FINREP, Stand: 30. September 2024

Dem Bank Lending Survey (BLS) des Eurosystems zufolge haben die befragten deutschen SIs und LSIs ihre Kreditvergabestandards für Unternehmenskredite im dritten Quartal 2024 trotz schlechter Konjunkturerwartung leicht gelockert, wohingegen sie die Richtlinien gegenüber privaten Haushalten strafften. Laut BLS planen die Banken jedoch, die Vergabestandards für Unternehmenskredite perspektivisch wieder anzuheben. Auf Nachfrageseite verzeichneten die Banken im dritten Quartal 2024 leichte Zuwächse. Die Institute rechnen damit, dass sich dieser Trend fortsetzen wird.

Kreditrisiken betreffen auch Versicherer

Versicherer sind ebenfalls von Kreditausfallrisiken betroffen, denn sie vergeben selbst Unternehmenskredite beziehungsweise investieren zum Beispiel in Private-Debt-Fonds (vgl. Risiken im Fokus 2024). Der Anteil an Private-Debt-Investments nahm 2023 leicht zu. Zum 31. Dezember 2023 machte er 4,2 Prozent der gesamten Kapitalanlagen aus.

Private-Debt-Investitionen stellen hohe Anforderungen an das Risikomanagement der Versicherer. Wichtig ist vor allem, dass Versicherer ein gutes Verständnis für die Geschäftsmodelle der Unternehmen haben, für die Private-Debt-Fonds Fremdkapital bereitstellen.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Die Bedrohung durch Cyber-Vorfälle ist weltweit sehr hoch und nimmt weiter zu. Hintergründe sind die fortschreitende Digitalisierung, welche die Angriffsfläche vergrößert, sowie geopolitische Spannungen, die zunehmend in den Cyber-Raum und auf kritische Infrastrukturen ausstrahlen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzte die Bedrohung im Cyber-Raum im Frühjahr 2024 „so hoch wie nie zuvor“ ein.

Fast ein Fünftel aller globalen Cyber-Vorfälle der vergangenen zwanzig Jahre betraf Unternehmen des Finanzsektors. Der Schaden beläuft sich laut Internationalem Währungsfond (IWF) seit 2004 auf fast 12 Milliarden US-Dollar. Dabei stieg die Zahl der Vorfälle, insbesondere von Cyber-Attacken, in den letzten Jahren stetig an.

Ein Cyber-Vorfall ist ein versehentlich oder böswillig herbeigeführter Vorfall, der sich negativ auf die Vertraulichkeit von Daten und die Verfügbarkeit von IT-Systemen oder Netzwerken auswirken kann oder Sicherheitsrichtlinien, Sicherheitsprozesse oder Nutzungsbedingungen verletzt. Solche Vorfälle können bei den beaufsichtigten Unternehmen selbst, aber auch bei Auslagerungsunternehmen entstehen.

Cyber-Vorfälle bei Unternehmen des Finanzmarkts oder bei Infrastrukturen können die Funktionsfähigkeit des Finanzsystems erheblich beeinträchtigen und im Extremfall zu systemischen Krisen führen. Dies kann insbesondere dann der Fall sein, wenn die enge Vernetzung zwischen Unternehmen des Finanzsektors und Dienstleistern dazu führt, dass viele Unternehmen gleichzeitig von einem Vorfall betroffen sind.

Die Nichtverfügbarkeit von kritischen Systemen und Funktionen, die Verletzung vertraulicher Daten oder hohe wirtschaftliche Verluste können das Vertrauen und die Reputation bei Anlegerinnen und Anlegern sowie Kundinnen und Kunden schädigen. So können Cyber-Vorfälle finanzielle Krisen bei den betroffenen Unternehmen auslösen und das Vertrauen in die Finanzstabilität insgesamt untergraben. Das kann zu Liquiditätsabflüssen führen, beispielweise in Form von Bank Runs.

Großes Schadenspotenzial von Cyber-Attacken

Cyber-Angriffe mit gravierenden Auswirkungen stellen ein Risiko mit großem Schadenspotenzial dar. Die Wahrscheinlichkeit, dass es zu erfolgreichen Cyber-Angriffen kommt, ist jedoch geringer als bei anderen IT-Vorfällen, wie Systemausfällen. Als Teil der kritischen Infrastruktur stellen Unternehmen des Finanzsektors ein attraktives Ziel für Cyber-Attacken dar. Angriffsfläche bieten sie entweder direkt oder über ihre kritischen (IT-) Dienstleister.

Insbesondere Schwachstellen bei Softwareanwendungen oder –updates stellen eine große Gefahr und ein Einfallstor für Cyber-Angriffe dar.

Unternehmen des Finanzsektors können auch über die Geschäftsbeziehung zu einem Unternehmen der Realwirtschaft betroffen sein, dessen Existenz nach einem Cyber-Angriff bedroht ist. In solchen Situationen drohen Kreditausfälle. Laut einer Studie des Digitalverbandes Bitkom, die im August 2024 veröffentlicht wurde, befürchten mittlerweile 65 Prozent der befragten Unternehmen, dass sie durch Cyber-Angriffe in eine solche existenzbedrohende Lage kommen. Ein Jahr zuvor lag der Anteil noch bei 52 Prozent.

Mehr Risiken durch Auslagerungen und Künstliche Intelligenz

Durch Auslagerungen an (IT-)Dienstleister wächst die Angriffsfläche des Finanzsektors. IT-Dienstleister und insbesondere Cloud-Umgebungen sind zunehmend Ziel von Angriffen. Auch der Einsatz von generativer Künstlicher Intelligenz (KI) erhöht die Gefahr wirksamer Cyber-Angriffe mit gravierenden Auswirkungen.

Zum einen nutzen immer mehr Unternehmen des Finanzsektors generative KI und bieten Angreifern damit neue potenzielle Schwachstellen. Zum anderen verwenden auch Cyber-Kriminelle generative KI, um neue und hocheffiziente Angriffsmethoden und Schadcodes zu entwickeln. So können zum Beispiel Phishing-Nachrichten schnell und qualitativ hochwertig durch KI erstellt werden. Das macht es schwieriger, betrügerische Informationen und Abfragen zu identifizieren.

Auch Deepfakes, bei denen Bild-, Ton- und Videoaufzeichnungen mit Hilfe von KI manipuliert werden, können dazu genutzt werden, das Vertrauen der Betroffenen zu erschleichen und sie zur Herausgabe von Daten zu verleiten. Solche Angriffsformen, die mit digitalen Täuschungen arbeiten, werden mit der weiteren Entwicklung generativer KI zunehmen.

Quantencomputing: Schutzmaßnahmen jetzt notwendig

Der Einsatz von leistungsfähigen Quantencomputern bedroht die IT-Sicherheit, indem er klassische Verschlüsselungsverfahren wie bislang bewährte Kryptosysteme (etwa Rivest–Shamir–Adleman, RSA) und die Kryptographie mit elliptischen Kurven (ECC) entschlüsselt. Diese Verfahren sind wichtige Grundlagen der IT-Sicherheit in der Finanzindustrie. Die Harvest Now, Decrypt Later-Methode verstärkt diese Bedrohung, da heute verschlüsselte Daten für eine spätere Entschlüsselung durch Quantencomputer gespeichert werden können.

Viele Unternehmen unterschätzen diese Bedrohung jedoch: Das BSI warnte, dass Betreiber kritischer Infrastrukturen, darunter auch Banken, die Risiken noch zu wenig im Blick hätten. Unternehmen des Finanzsektors müssen bereits jetzt Schutzmaßnahmen ergreifen, um sicherheitsrelevante Daten langfristig zu schützen. Nur dann sind sie für die Zukunft gewappnet. Dafür müssen die Unternehmen jetzt schon ausreichend investieren.

Sie sollten quantengefährdete Daten identifizieren und ein Schutzkonzept mit einem konkreten Umsetzungszeitrahmen erstellen. Das Schutzkonzept sollte vorhandene technische Möglichkeiten und Standards berücksichtigen, etwa die Anwendung von Post Quantum Cryptography. Es muss so gestaltet sein, dass das IT-Risikomanagement flexibel auf künftige Entwicklungen reagieren und kommende Sicherheitsempfehlungen und Standards umsetzen kann. 2024 hat das U.S. National Institute of Standards and Technology (NIST) erstmals klare Post-Quantum-Kryptographie-Standards für den Schutz von Organisationen gegen Quanten Hacking definiert. Auch die G7 Cyber Expert Group weist auf die Risiken durch Quantencomputing und auf die Standards der NIST hin.

DDoS, Ransomware und Phishing weiter üblich

Distributed-Denial-of-Service-Angriffe (DDoS) sind die häufigste Angriffsform: Sie überlasten Datennetze mit einer Flut von Datenanfragen. Durch DDoS-Angriffe auf Unternehmen des Finanzsektors gelingt es Angreifern zum Beispiel immer wieder, die Verfügbarkeit von Online-Diensten zu stören.

Die größte Bedrohung für Unternehmen der Real- und der Finanzwirtschaft geht jedoch von Ransomware-Angriffen aus. Unternehmen des Finanzsektors wurden in den vergangenen Jahren mehrfach Opfer erfolgreicher Ransomware-Angriffe. Dabei gelang es den Angreifern in einzelnen Fällen nicht nur, Daten zu verschlüsseln und abzugreifen. Durch ihre Angriffe konnten die Kriminellen auch den Geschäftsbetrieb betroffener Unternehmen erheblich stören.

Auch Kundinnen und Kunden weiterhin im Visier

Auch Phishing- und Social Engineering-Angriffe sind nach wie vor eine gängige Methode, um sensible Daten und Anmeldeinformationen abzugreifen. Im Juni 2024 wurden bei einem Cyber-Angriff auf das Tochterunternehmen eines großen deutschen Kreditinstituts Adressen, Konto- und Steuerdaten von mehreren Zehntausend Kundinnen und Kunden gestohlen.

Eine neue Variante: Kriminelle versenden gefälschte Briefe mit QR-Code und verschaffen sich über die darin enthaltenen Links Zugriff auf Konten. Davor warnte im September 2024 eine große deutsche Bank ihre Kundinnen und Kunden.

Cyber-Attacken wirtschaftlich oder politisch motiviert

Angriffe können wirtschaftlich oder politisch motiviert sein. Staatlich initiierte Attacken gewinnen an Bedeutung. Als Teil der kritischen Infrastruktur stehen auch Unternehmen des Finanzsektors immer stärker im Fokus solcher Attacken.

So wurden laut eines UN-Berichts, unter anderem über eine staatliche Hackergruppe, durch Cyber-Attacken auf Kryptounternehmen in den vergangenen sieben Jahren mutmaßlich ca. 3,6 Milliarden US-Dollar erbeutet. Allein bei einer Attacke Ende 2023 wurden 147,5 Millionen US-Dollar von einer Kryptowährungsbörse gestohlen.

Operationelle Vorfälle sind weitaus häufiger

Weitaus häufiger als erfolgreiche Cyber-Angriffe sind weiterhin operationelle IT-Vorfälle bei Finanzunternehmen oder deren Dienstleistern. Diese Vorfälle entstehen meist durch unbeabsichtigte Fehler, etwa in der Software oder in Prozessen. Oft liegen die Ursachen in fehlerhaften Updates oder im Change-Prozess der Unternehmen, wenn es zum Beispiel rund um Systemanpassungen zu Konfigurationsfehlern kommt.

Auch operationelle IT-Vorfälle können die Verfügbarkeit von Dienstleistungen erheblich beeinträchtigen und damit den Finanzmarkt gefährden. Besonders kritisch ist es, wenn große Zahlungs- oder IT-Dienstleister betroffen sind, die viele Kunden im Finanzsektor haben.

Im vergangenen Jahr führten Probleme bei IT- und Zahlungsdienstleistern mehrfach zu Störungen im bargeldlosen Zahlungsverkehr. Kundinnen und Kunden betroffener Unternehmen konnten vorübergehend nicht mit Karte zahlen. Der prominenteste IT-Vorfall des vergangenen Jahres im Juli beim US-Unternehmen CrowdStrike ging auf ein fehlerhaftes Update eines IT-Sicherheits-Tools zurück.

Daten aus dem PSD2-Meldewesen für Zahlungsvorfälle

Bis zum 17. Januar 2025 mussten gemäß der zweiten Zahlungsdiensterichtlinie (PSD2) nur Zahlungsdienstleister, also Banken und Zahlungsabwickler, Zahlungsvorfälle an die BaFin melden. Zahlungsvorfälle sind IT-Vorfälle, die sich auf Zahlungsdienste auswirken. So konnte die BaFin Risiken bei der Zahlungssicherheit erkennen und überwachen.

In den ersten drei Quartalen 2024 wurden der BaFin 258 Meldungen zu Zahlungsvorfällen gemeldet (siehe Abbildung 9). Damit stieg die Zahl der Meldungen deutlich im Vergleich zu den Vorjahren. Dies ist vor allem auf mehrere Vorfälle bei IT-Dienstleistern und Zahlungsdienstleistern zurückzuführen. In mehreren Fällen betrafen diese Vorfälle viele Finanzunternehmen, was zu einer Vielzahl von Meldungen verschiedener Institute an die BaFin führte.

Abbildung 9: Gesamtzahl der Meldungen zu Zahlungsvorfällen

* Die Zahlen für 2024 umfassen Vorfallsmeldungen in den ersten drei Quartalen 2024. Quelle: BaFin-eigene Darstellung, Stand: 30. September 2024

Die Vorfälle resultierten hauptsächlich aus System- und Prozessfehlern sowie menschlichem Versagen. Die große Zahl solcher Vorfälle zeigt, wie wichtig es ist, dass Unternehmen über resiliente Systeme und Prozesse verfügen.

Die Bedeutung von Auslagerungsunternehmen für die operationelle Resilienz des Finanzsektors wird auch durch die gemeldeten Zahlungsvorfälle deutlich. In etwa 67 Prozent der Meldungen aus den ersten drei Quartalen 2024 lag die Ursache nicht beim Institut selbst, sondern bei einem seiner Dienstleister. Das zeigt: Für eine hohe operationelle Resilienz brauchen Finanzunternehmen auch widerstandsfähige Dienstleister.

Die gemeldeten Vorfälle betrafen meist die Transaktionsverarbeitung und die Online- sowie Mobile-Banking-Kanäle. Die meisten Meldungen kamen von bedeutenden Instituten (Significant Institutions – SIs) und IT-Mehrmandantendienstleistern (IT-MMDL).

Etwa 2,3 Prozent der Meldungen in den ersten drei Quartalen 2024 waren Sicherheitsvorfälle, einschließlich Cyber-Angriffe. Sicherheitsvorfälle machten damit – wie in den Vorjahren – nur einen kleinen Teil der Meldungen aus.

Verschiedene Gründe könnten den geringen Anteil erklären: Etwa, dass es den Instituten gelang, Angriffe erfolgreich abzuwehren, dass Angriffe keine Auswirkungen auf zahlungsbezogene Dienste hatten oder dass die Auswirkungen die Meldeschwellen nicht überschritten. Der geringe Anteil an Sicherheitsvorfällen bedeutet nicht, dass es 2024 wenige Angriffe gab oder dass das Risiko gering war, Opfer eines Cyber-Angriffes zu werden. Im Gegenteil: Das Risiko bleibt hoch.

Neue Meldepflicht für IKT-Vorfälle unter DORA

Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA). DORA harmonisiert das Meldewesen für schwerwiegende Vorfälle der Informations- und Kommunikationstechnologie (IKT) für sämtliche Finanzunternehmen. Neben Banken und Zahlungsdienstleistern müssen auch Versicherer und Wertpapierfirmen sowie alle weiteren Finanzunternehmen unter dem Anwendungsbereich von DORA IKT-Vorfälle melden.
Die neue Meldepflicht hat einen deutlich stärkeren Fokus auf Cyber-Angriffe. Die BaFin wird daher vorrausichtlich mehr Sicherheitsvorfälle registrieren. Diese Ausweitung ermöglicht es der BaFin, ein umfassenderes Bild der Cybersicherheitslage im Finanzsektor zu erhalten und besser auf Entwicklungen und Risiken zu reagieren.

Risikobewusstsein der Unternehmen des Finanzsektors

Die Unternehmen des Finanzsektors berücksichtigen größtenteils das Risiko von IT-Vorfällen in ihrem Risikomanagement. Die meisten haben in IT-Sicherheit investiert. Sie müssen jedoch kontinuierlich aktuelle Entwicklungen und Bedrohungen überwachen, ihre Sicherheitsmaßnahmen anpassen und sich auf Ernstfälle vorbereiten. Die BaFin sieht in der günstigen Ertragslage der Kreditinstitute im Jahr 2024 gute Voraussetzungen, um verstärkt in IT-Sicherheit zu investieren.

DORA stellt konkrete Anforderungen an die Unternehmen. Ziel ist es, die Resilienz des Finanzmarktes gegen Ausfälle und Cyber-Attacken zu stärken und die Handlungsfähigkeit nach einem IT-Vorfall zu verbessern. Zudem sollen die Unternehmen einheitliche Templates sowie Wege für den schnellen Informationsaustausch mit allen relevanten Akteuren über Angriffe und Bedrohungen etablieren.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Das Risiko, dass Finanzmarktakteure für Geldwäsche und Terrorismusfinanzierung missbraucht werden, ist nach wie vor hoch, auch aufgrund des geopolitischen Umfelds. Erhöhte Aufmerksamkeit ist erforderlich, um Geldwäsche und Terrorismusfinanzierung zu verhindern. Im deutschen Finanzsektor beaufsichtigt die BaFin über 9.400 Aufsichtsobjekte (siehe Tabelle 1). Sie sind verpflichtet, Maßnahmen zur Prävention von Geldwäsche zu ergreifen und angemessen und wirksam gegen Geldwäsche vorzugehen (vgl. Risiken im Fokus 2024).

Tabelle 1: Anzahl der Aufsichtsobjekte der BaFin nach Verpflichtetengruppen

Quelle: BaFin, Stand: November 2024

Bei einem Geldwäscheverdacht müssen die Verpflichteten die Financial Intelligence Unit (FIU) informieren. 2023 gingen bei der FIU 310.956 solcher Verdachtsmeldungen aus dem Finanzsektor ein (Vorjahr: 326.123). Im Jahr 2023 wurden der FIU insgesamt 322.590 Verdachtsfälle aus dem Finanz- und dem Nichtfinanzsektor sowie von weiteren Verpflichteten gemeldet (Vorjahr: 337.186). Damit machen die Meldungen aus dem Finanzsektor 96,39 Prozent der Verdachtsmeldungen aus. Der Anteil ist damit unverändert hoch.

Terrorismusfinanzierung und illegale Finanztransfers

Das Risiko der Terrorismusfinanzierung hat angesichts der aktuellen internationalen Krisenherde nochmals zugenommen. Eine wesentliche Herausforderung bei der Prävention von Terrorismusfinanzierung besteht darin, dass die Mittel oft aus legalen Quellen stammen und dann in kriminelle Netzwerke fließen. Dagegen müssen die Verpflichteten gezielte Vorkehrungen treffen. Sie müssen bei ihren Präventionsmaßnahmen, wie der Risikoanalyse und dem Transaktionsmonitoring, klar zwischen Geldwäsche und Terrorismusfinanzierung differenzieren.

In der Praxis zeigte sich, dass Unternehmen, die dies nicht tun, Risiken aus Terrorismusfinanzierung entweder gar nicht oder nur unzureichend berücksichtigten. Wichtig ist unter anderem, Transaktionen und die Verwendung von Mitteln kritisch zu hinterfragen. Besonders aufmerksam sollten Institute bei Barzahlungen sein und wenn Zahlungen und Transfers nicht zum Zweck des Kontos oder den wirtschaftlichen Verhältnissen der Geldgeberin oder des Geldgebers passen.

Illegale Finanztransfers am Beispiel Hawala Banking

Hawala ist ein seit langem genutztes informelles Zahlungsverfahren. Durch geopolitische Konflikte hat es weltweit an Bedeutung gewonnen. Hawala funktioniert nach dem „System der zwei Töpfe“ über Mittelspersonen. Dies sind die sogenannten „Hawaladare“, die ohne staatliche Zulassung und Aufsicht agieren (siehe Abbildung 10).

Abbildung 10: Funktionsweise Hawala Banking

Quelle: BaFin-eigene Darstellung

Das System ist „beleg-, konto- und banklos“ und basiert auf Vertrauen und Verschwiegenheit. Die Nutzung regulierter Finanztransferdienstleister wird umgangen, was die Aufdeckung der entsprechenden Strukturen erschwert. Die Hawaladare transferieren teils hohe Geldsummen über Staatsgrenzen hinweg. Aus diesen Gründen kann Hawala leicht zur Finanzierung von Terrorismus, Menschenhandel, Schleuserkriminalität und vielen anderen kriminellen Handlungen genutzt werden.

Geschäftsmodelle mit besonderen Schwachstellen

Auch bestimmte regulierte Geschäftsmodelle weisen besonders hohe Risiken für Geldwäsche und Terrorismusfinanzierung auf. Ein Beispiel ist das Loan Fronting: Dabei vergibt ein Kreditinstitut Darlehen im Auftrag von Dritten. Oft stammen die Gelder nicht von der Bank selbst, sondern von Investoren.

Das Risiko für Geldwäsche und Terrorismusfinanzierung ist vor allem dann erhöht, wenn die Investoren und damit die Herkunft der Gelder beziehungsweise die Herkunft der Kreditsicherheiten unbekannt sind.

Innovationen mit potenziellen Geldwäscherisiken

Technologische Innovationen am Finanzmarkt können das Risiko für Geldwäsche erhöhen. Dies ist zum Beispiel bei Kryptowerten der Fall: Ihre Handhabung ist komplex und bietet viele Gestaltungsmöglichkeiten, was die Transparenz erschwert. Seit dem 30. Dezember 2024 müssen Verpflichtete bei Kryptowertetransfers spezifische Pflichten einhalten. Die neu gefasste europäische Geldtransferverordnung regelt diese Anforderungen. Sie ersetzt die bisherige Kryptowertetransferverordnung.

Ein weiterer Umstand, der die Geldwäscheprävention erschweren kann, ist die vermehrte Nutzung der virtuellen IBAN (vIBAN). Sie ersetzt beispielsweise im Zahlungsverkehr mit Geschäftskunden Rechnungsnummer und Verwendungszweck und ermöglicht die automatisierte Verarbeitung der Aufträge.

Der Einsatz von vIBAN birgt je nach Geschäftsmodell besondere Risiken: vIBANs können die Nachvollziehbarkeit von Transaktionen erschweren, weil die Absender und Empfänger von Zahlungen sowie deren geografischer Aufenthaltsort schwieriger zu identifizieren sind. Dies kann bei Kreditinstituten, die die vIBAN ausgeben, oder bei zwischengeschalteten Zahlungsdienstleitern die Wahrnehmung der Kundensorgfaltspflichten und das Transaktionsmonitoring beeinträchtigen.

Möglich ist auch, dass die vIBAN einen anderen Ländercode als den Code erhält, der mit ihrem Zahlungskonto eigentlich verknüpft sein müsste. Hierdurch wird fälschlicherweise der Anschein erweckt, das Konto werde im Inland geführt und unterliege somit der inländischen Regulierung und Kontrolle. Kundinnen und Kunden könnten hierdurch getäuscht werden.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Die Unternehmen des Finanzsektors lagern immer mehr IT-Dienstleistungen an spezialisierte Anbieter aus. Vor allem Auslagerungen an Cloud-Anbieter haben hierbei stetig an Relevanz gewonnen. Auslagerungen bieten viele Vorteile: Auslagernde Unternehmen profitieren von niedrigeren Kosten und können sich besser auf ihr Kerngeschäft konzentrieren. Hinzu kommt: Dienstleister bieten aufgrund ihrer Spezialisierung viele Services effizienter und zum Teil auch sicherer an, als es den auslagernden Unternehmen möglich wäre.

Auslagerungen führen allerdings zu einer zunehmenden Verflechtung und damit einhergehenden Konzentrationsrisiken, die den Finanzsektor verwundbarer machen können. Das gilt insbesondere dann, wenn eine geringe Anzahl spezialisierter IT-Dienstleister ihr Angebot für eine Vielzahl von Unternehmen des Finanzsektors zur Verfügung stellt. Diese Problematik kann sich durch Weiterverlagerungen der Dienstleister auf eine Kette von weiteren Dienstleistern verschärfen.

Auswirkungen auf Vielzahl von Unternehmen

Infolge der Konzentration auf wenige Anbieter können bereits einzelne Störungen gravierende Auswirkungen auf den Finanzsektor haben. Besonders problematisch ist dies bei kritischen Prozessen, von denen die Funktionsfähigkeit der Unternehmen des Finanzsektors abhängt. Kommt es zu einer Störung bei einem Dienstleister, wirkt sich diese – unabhängig von ihrer Ursache – unter Umständen nennenswert auf eine Vielzahl beaufsichtigter Unternehmen aus.

Dies kann so weit gehen, dass die Unternehmen des Finanzsektors vorübergehend oder dauerhaft nicht mehr diese Dienstleistungen nutzen können. Ein kurzfristiger Ersatz des Dienstleisters ist häufig nicht möglich, insbesondere, weil hochspezialisierte IT-Dienstleister keine identischen Produkte anbieten. Selbst wenn ein Wechsel des Dienstleisters technisch möglich ist, nimmt er daher zumindest Zeit in Anspruch. Viele Unternehmen sind also faktisch an ihre spezialisierten IT-Dienstleister gebunden, insbesondere dann, wenn sie deren Software nutzen. Einmal entstandene Abhängigkeiten lassen sich daher nur schwer zurückdrehen (vgl. Risiken im Fokus 2024).

Zusätzlich können Konzentrationsrisiken durch Weiterverlagerungen der Dienstleister auf eine Kette von weiteren Dienstleistern entstehen (Subdelegation). Die daraus resultierenden Abhängigkeiten und Risiken kennen die auslagernden Unternehmen des Finanzsektors oft nicht. Sie können daher kaum gegensteuern.

Jede zweite Auslagerung ist nicht wiedereingliederbar

Diese Abhängigkeiten gehen auch aus der Auslagerungsdatenbank der BaFin hervor. Mehr als die Hälfte der anzeigepflichtigen Unternehmen gibt unter anderem an, ihre ausgelagerten IT-Dienstleistungen nicht wieder selbst erbringen zu können. Mehr als zwei Drittel der Unternehmen, die diese Angabe gemacht haben, gibt zudem an, die IT-Dienstleistung gar nicht oder nur schwer auf einen anderen IT-Dienstleister übertragen zu können.
Grundsätzlich greifen Finanzunternehmen beim Einsatz von IT-Dienstleistern auf verschiedene Services zurück. Am häufigsten handelt es sich dabei um Datenspeicherung, Anwendungsdienste und Dienstleistungen im Zusammenhang mit Softwareentwicklung (siehe Abbildung 11).

Abbildung 11: Kategorien der am häufigsten genutzten IT-Dienstleistungen

Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024

Störungen bei CrowdStrike zeigen Verwundbarkeiten auf

Welche Konsequenzen Abhängigkeiten von IT-Dienstleistern haben können, zeigte im Juli 2024 der Fall CrowdStrike: Ein fehlerhaftes Update eines IT-Sicherheits-Tools bei dem US-amerikanischen Hersteller für Informationssicherheit und Cybersicherheitstechnologie CrowdStrike führte zu einer weltweiten IT-Störung. Das Sicherheits-Tool war bei zahlreichen weiteren IT-Diensten im Einsatz, etwa bei Microsoft Windows, und führte dort zu Abstürzen.

Aufgrund der weltweiten Verbreitung des Tools betraf der Vorfall viele Nutzerinnen und Nutzer, Unternehmen und Systeme und führte zu teils gravierenden Einschränkungen im Geschäftsbetrieb. Auch kritische Infrastruktur wie Flughäfen, Krankenhäuser und Energiekonzerne waren betroffen, der deutsche Finanzsektor hingegen kaum.

Zwar normalisierte sich die Lage innerhalb weniger Tage, und der Vorfall stellt kein Risiko für den Finanzmarkt dar. Grundsätzlich können solche Vorfälle aber schwerwiegende Folgen haben. Transparenz über die Verflechtungen auf dem Finanzmarkt ist daher für die BaFin wichtig, um abschätzen zu können, welches Ausmaß ein Vorfall haben könnte.

Geopolitische Risiken verschärfen Probleme

Gerade bei IT-Auslagerungen wird der Finanzmarkt von wenigen Anbietern beherrscht, die teils im außereuropäischen Ausland sitzen. Konzentrieren marktbeherrschende Dienstleister ihre Aktivitäten auf bestimmte Sparten oder Regionen, entstehen zusätzliche Risiken. Dies kann zum Beispiel bei Sanktionen gegen einen Staat der Fall sein, bei protektionistischen Maßnahmen durch einen Staat oder bei politischen Unruhen in einer Region. Das beträfe alle Unternehmen, die dortige Dienstleistungen nutzen. Der ohnehin schwierige Wechsel zu einem Alternativanbieter wäre nicht möglich. Dies kann sich negativ auf den gesamten Finanzmarkt auswirken.

Das Thema Datensouveränität gewinnt zunehmend an Bedeutung. Große Cloud-Hyperscaler haben in den vergangenen Jahren damit begonnen, Finanzunternehmen mit der „Sovereign Cloud“ die Speicherung und Verarbeitung der Daten innerhalb bestimmter geografischer Grenzen anzubieten. Das Ziel: eine stärkere räumliche, systemseitige und personelle Trennung von Mutterkonzernen, die ihren Sitz in Drittstaaten haben. Einen gänzlichen Schutz vor geopolitischen Risiken bietet dieser Ansatz in den meisten Fällen jedoch nicht.

Überwachung systemrelevanter IT-Dienstleister auf nationaler Ebene

Für die Aufsicht ist ein Überblick über die Verflechtungen in der Auslagerungslandschaft des deutschen Finanzsektors wichtig, um die operationelle Resilienz digitaler Systeme des Finanzmarktes zu stärken. Deshalb holt die BaFin seit Ende 2022 von den Finanzunternehmen Informationen zu (wesentlichen) Auslagerungen ein – und zwar unabhängig von den ausgelagerten Prozessen oder Produkten. Seither haben der Aufsicht ca. 2.200 beaufsichtigte Unternehmen etwa 24.000 (wesentliche) Auslagerungen angezeigt. Das sind im Durchschnitt etwa elf wesentliche Auslagerungen pro Unternehmen. Durchschnittlich handelt es sich dabei in jedem vierten bis fünften Fall um eine IT-Auslagerung.

Abbildung 12: Anzahl der durchschnittlich an die BaFin gemeldeten Auslagerungen

Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024

Die Daten aus der Auslagerungsdatenbank verwendet die BaFin für sektorübergreifende Analysen – insbesondere, um Konzentrationen bei einzelnen Dienstleistern zu erkennen. Sie kann so unter anderem die Beziehungen zwischen den Finanzunternehmen und den Dienstleistern auf dem deutschen Finanzmarkt visualisieren. Dadurch werden Auffälligkeiten transparent. Sie kann aber auch einen einzelnen Dienstleister oder ein einzelnes Finanzunternehmen in den Fokus nehmen und dessen Auslagerungen analysieren.

Die BaFin analysiert die Auslagerungsverflechtungen unter bestimmten Risikogesichtspunkten. Dazu gehören zum Beispiel die Ersetzbarkeit des Auslagerungsunternehmens und deren Dauer, die Verarbeitung personenbezogener Daten und der Einsatz für zeitkritische Prozesse im Finanzunternehmen (siehe Abbildung 13). Übergeordnetes Ziel ist es, die operative Stabilität und Sicherheit der von ihr beaufsichtigten Unternehmen und insbesondere deren Technologieplattformen zu stärken – und damit auch den gesamten Finanzmarkt.

Die Grafik zeigt einen Netzwerkgraphen. Dieser bildet als Knoten bzw. Punkte die Aufsichtsobjekte und Dienstleister ab. Die Linien zwischen den Punkten repräsentieren die Geschäftsbeziehungen dieser Unternehmen untereinander.

Abbildung 13: Verflechtungsanalyse nach Risikogesichtspunkten

Auf Grundlage der Auslagerungsanzeigen hat die BaFin mit einem Risikomodell durchschnittliche Risikoklassen zu den Geschäftsbeziehungen ermittelt, die zur Kanteneinfärbung geführt haben: rot steht für höheres Risiko, grün steht für geringeres Risiko. Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024

Aus der Abbildung 13 geht zum Beispiel hervor, dass die Genossenschaftsbanken und Sparkassen eng mit den Dienstleistern ihres jeweiligen Verbunds verknüpft sind. Kapitalverwaltungsgesellschaften hingegen sind untereinander stark verbunden und beauftragten vergleichsweise viele unterschiedliche Auslagerungsnehmer.

Die BaFin kann aber auch einen einzelnen Dienstleister oder ein einzelnes Finanzunternehmen in den Fokus nehmen und dessen Auslagerungen analysieren.

Abbildung 14: Auslagerungsbeziehungen einzelner Unternehmen des Finanzsektors

In dieser Grafik sind neben Aufsichtsobjekten und Dienstleistern auch Subdienstleister enthalten. Da die gemeldeten Daten keine Risikoeinschätzung der Geschäftsbeziehungen zwischen Dienstleistern und Subdienstleistern erlauben, sind die betroffenen Kanten hier grau gefärbt. Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024

Gutes Risikomanagement zentral

Auch die Unternehmen des Finanzsektors nehmen die Konzentrationsrisiken mit ihrem Risikomanagement in den Blick (vgl. Risiken im Fokus 2024). Sie sind sich insbesondere der mit IT-Auslagerungen einhergehenden Risiken bewusst. Manche Unternehmen werden sensibler und holen ihre ausgelagerten Aktivitäten und Prozesse wieder ins Unternehmen zurück (Insourcing). Andere erwägen eine Multi-Vendor-Strategie.

Insgesamt nehmen jedoch die Auslagerungen weiter zu – vor allem auf IT-Mehrmandanten-Dienstleister. Angesichts der zahlreichen Vorteile insbesondere von IT-Auslagerungen ist dies nachvollziehbar. Allerdings steigen hierdurch auch die Risiken für den Finanzmarkt. Entscheidend ist, dass Finanzunternehmen sich durch ein gezieltes Risikomanagement absichern und Risiken weitestgehend minimieren.

Vor diesem Hintergrund verlangt der europäische Digital Operational Resilience Act (DORA) eine Einschätzung und Überwachung der Drittparteienrisiken, die aus der Nutzung von Informations- und Kommunikationstechnologie (IKT) entstehen – und zwar während des gesamten Lebenszyklus der Nutzung.

Bereits vor Vertragsabschluss sollen die Finanzunternehmen, die IT-Dienstleistungen von Dritten beziehen wollen, eine Risikobewertung vornehmen. Darin sollen sie zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Um die IKT-Drittparteienrisiken strukturiert zu managen, müssen die Finanzunternehmen ihre IKT-Vertragsbeziehungen in ein Informationsregister eintragen.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Künstliche Intelligenz und maschinelles Lernen

Die Unternehmen der Finanzbranche setzen zunehmend Künstliche Intelligenz (KI) ein, vor allem generative KI. Das gilt für die gesamte Wertschöpfungskette. Viele Initiativen zur Verwendung generativer KI befinden sich noch in der Erprobungs- oder Pilotphase.

In der Praxis werden vor allem große Sprachmodelle (Large Language Models – LLM) erprobt. Sie fungieren hauptsächlich als Assistenzsysteme. Häufige Anwendungen sind GPT -basierte interne Chatbots für Beschäftigte, KI-Systeme zur Dokumentenaufbereitung sowie KI-Assistenzsysteme für Entwickler (Coding). Generative KI bietet auch Potenzial im Kundenkontakt. Sie wird aber in diesem Bereich bisher relativ beschränkt eingesetzt.

Banken und Versicherer setzen traditionellere Formen der KI und des Maschinellen Lernens (ML) hingegen bereits bei der Erkennung von Geldwäsche und Betrug sowie in Backoffice-Prozessen ein. Ein Beispiel ist die Dunkelverarbeitung etwa in der Leistungsbearbeitung bei Versicherern. Im Risikomanagement werden KI und ML zunehmend zur Datenaufbereitung und Validierung von Risikomodellen genutzt. In der stark automatisierten Wertpapierbranche werden KI und ML vor allem genutzt, um Prozesse in Handel, Beratung, Risikomanagement und Compliance zu verbessern.

Grenzen und Risiken in der Praxis

Der Einsatz von KI birgt auch Risiken: KI-Modelle sind oft nicht erklärbar und lassen sich nur schwer überprüfen. Außerdem besteht die Gefahr, dass KI-Modelle auf Datenungleichgewichten oder Vorurteilen beruhen. Dies kann zur Verzerrung der Ergebnisse führen („Bias“) – mit möglichen unbeabsichtigten Folgen, etwa der Diskriminierung von Kundinnen und Kunden. Über deren Schaden hinaus können diskriminierende Handlungen durch KI Haftungs- und Reputationsrisiken für Anbieter und Betreiber von KI-Systemen zur Folge haben.

Risiken für die Finanzstabilität können zum einen durch neue Abhängigkeiten von Dritten entstehen, insbesondere von großen Cloud- sowie KI-Modellanbietern. Grund hierfür ist eine starke Marktkonzentration auf wenige Anbieter. Zum anderen könnte KI zu Herdenverhalten führen: Es besteht also die Gefahr, dass sich sehr viele Marktteilnehmer aufgrund gleicher Informationsverarbeitung durch KI und wegen automatisierter Handelsstrategien ähnlich verhalten.

Quantencomputing: Frühzeitige Schutzmaßnahmen notwendig

Für den Durchbruch zu leistungsfähigen und stabil arbeitenden Quantencomputern müssen noch technologische Hürden überwunden werden: etwa eine ausreichende Rechnerleistung oder auch komplexe physikalische Rahmenbedingungen, die für Quantencomputing (QC) nach aktuellem Stand der Technik erforderlich sind. Ein Beispiel: Für gängige Quantencomputer-Konzepte ist die Kühlung nahe des absoluten Nullpunkts erforderlich.
Im Finanzdienstleistungssektor erforscht man bereits verschiedene Anwendungen, zum Beispiel im Risikomanagement und in der Portfoliooptimierung. Perspektivisch wird die Branche dabei auf die Dienste großer Technologie-Anbieter angewiesen sein.

Ein Durchbruch beim Quantencomputing birgt Risiken für den Finanzsektor. Unternehmen des Finanzsektors sollten bereits jetzt geeignete IT-Sicherheits-Maßnahmen treffen. Ein Beispiel für die Dringlichkeit: die „Harvest now – decrypt later “-Problematik .

Kryptowerte: Aufwärtstrend nach Skandalfällen

Der Kryptomarkt war nach Skandalen und dem Zusammenbruch großer Anbieter im Jahr 2023 auf ein Zehntel des Handelsvolumens von 2021 geschrumpft. Bis Ende Oktober 2024 verdoppelte sich die Gesamtmarktkapitalisierung im Vergleich zum Vorjahr (siehe Abbildung 15). Dieser Zuwachs resultierte maßgeblich aus dem Kursanstieg des Bitcoins, der durch die Einführung von Spot-Bitcoin-ETFs in den USA im Januar 2024 begünstigt wurde. Auch andere Kryptowerte erzielten im gleichen Zeitraum signifikante Kursgewinne.

Nach den Präsidentschaftswahlen in den USA wuchs der Kryptomarkt weiter und erreichte seitdem neue Allzeit-Hochs, zuletzt Anfang Dezember mit rund 3,6 Billionen Euro (siehe Abbildung 15). Die Erwartung der Anlegerinnen und Anleger, dass sich die rechtlichen Rahmenbedingungen für den Kryptohandel in den USA in Zukunft lockern und damit eine stärkere Nachfrage einhergehen könnte, beeinflusste diese Kursentwicklung wesentlich.

Bitcoin bleibt der dominierende Kryptowert. Ende 2024 erreichte der Bitcoin-Kurs mit knapp 103 Tausend Euro ein neues Allzeithoch. Dies entspricht einem Anstieg auf das 2,7-Fache im Vergleich zum Vorjahr. Zu den wesentlichen Trends im Kryptomarkt gehören insbesondere das Wachstum des Liquidity-Staking und die zunehmende Tokenisierung von sowohl traditionellen Finanzinstrumenten als auch Real-World Assets (RWAs).

Abbildung 15: Marktkapitalisierung (alle Kryptowerte)

Quelle: coingecko, BaFin-eigene Darstellung, Stand: 1. Dezember 2024

Kryptowerte können den traditionellen Finanzmarkt beeinflussen, wenn sie als Kreditsicherheiten dienen oder wenn die Reserven von „stablecoins“ signifikante Teile der verfügbaren kurzfristigen Geldmarktinstrumente binden. Trotz des hohen Handelsvolumens von Kryptowerten bestand Ende 2024 keine systemische Gefahr für den deutschen Finanzmarkt (siehe Abbildung 16).

Abbildung 16: Entwicklung des Handelsvolumens von Kryptowerten

Quelle: coingecko, BaFin-eigene Darstellung, Stand: 1. Dezember 2024

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

2. Nachhaltigkeit
3. Geopolitische Umbrüche

Das Thema ESG – also Risiken aus den Bereichen Umwelt, Soziales und Unternehmensführung (Environment, Social, Governance) – war für die Unternehmen des Finanzsektors im Jahr 2024 weiter wichtig. Dieser Trend wird sich 2025 fortsetzen. Dabei spielen vor allem die Herausforderungen bei der Umsetzung wirksamer Maßnahmen zur Begrenzung des Klimawandels eine Rolle und mit ihm insbesondere die Zunahme physischer Risiken. Deshalb legt die BaFin einen besonderen Fokus darauf, wie beaufsichtigte Unternehmen mit physischen Risiken umgehen.

Klimarisiken: Über zwei Kanäle wirksam

Der Klimawandel wirkt zum einen über physische Risiken auf die Finanzbranche ein. Sie entstehen aus den konkreten Auswirkungen klimatischer Veränderungen, wie Extremwetterereignissen. Physische Risiken verursachen enorme finanzielle und Personenschäden und können sich beispielsweise auf Kreditportfolien von Banken oder auf Schadenssummen von Versicherern auswirken. Physische Risiken steigen tendenziell, da beispielswese die Erderwärmung weiter voranschreitet. Dies zeigte sich zuletzt an dem verheerenden Unwetter in Spanien im Herbst 2024.

Zum anderen wirkt sich der Klimawandel über transitorische Risiken aus. Abrupte Marktpreiskorrekturen können durch veränderte gesellschaftliche Anforderungen, klimapolitische Entscheidungen und technologische Innovationen entstehen. Ein konkretes Beispiel ist die Neufassung des Gebäudeenergiegesetzes. Es formuliert höhere Anforderungen an die energetische Qualität von Gebäuden. Dies hat potenziell Konsequenzen für die Bewertung von Immobilien und damit auch für deren Wert als Sicherheiten im Immobilienkreditgeschäft.

Unterschiedliche Schwerpunkte bei Banken und Versicherern

Der Stresstest 2024 von BaFin und Deutscher Bundesbank bei weniger bedeutenden Instituten (Less Significant Institutions- LSIs) und eine 2024 durchgeführte BaFin-Umfrage zum Umgang von LSIs und Versicherungsunternehmen mit den finanziellen Folgen von Klimarisiken zeigen, dass Banken physische und transitorische ESG-Risiken zwar bereits als Risikotreiber in der Risikoinventur berücksichtigen. Allerdings sehen die Banken bisher keinen materiellen Einfluss auf die wesentlichen Risikoarten.

In der gleichen BaFin-Umfrage gaben Versicherungsunternehmen an, dass sie ihren Schwerpunkt überwiegend auf physische Risiken legen. Dies deckt sich mit empirischer Evidenz: Seit einigen Jahren steigen die Schadenaufwendungen aufgrund von Naturkatastrophen. Transitorische Risiken schätzen die Versicherer vor allem im Hinblick auf die Kapitalanlage als relevant ein. Im Gegensatz zu den Banken haben bei Versicherern physische Risiken nach ihrer Selbsteinschätzung meist einen materiellen Einfluss auf die wesentlichen Risikoarten.

Die BaFin gibt physischen Risiken in der Aufsicht mehr Gewicht

Die BaFin hat sich intensiv mit physischen Risiken am deutschen Finanzmarkt auseinandergesetzt (siehe Abbildung 17). Sie hat zum Beispiel ausgewählte Banken und Versicherungen untersucht, die durch Extremwetter, Lieferkettenabhängigkeit oder konzentrierte Kredit- und Marktrisiken besonders gefährdet sind. Die beaufsichtigten Unternehmen haben demnach grundsätzlich Fortschritte beim Management ihrer Nachhaltigkeitsrisiken gemacht. Es gibt aber noch Verbesserungspotenzial.

Herausforderungen bestehen etwa bei der Integration und Verarbeitung von granulareren Daten zu physischen Klimarisiken. So müssen Banken und Versicherer auf mehrere Informationsquellen zurückgreifen, um einzelne Naturgefahren zu bewerten. Insbesondere Banken stehen hier noch am Anfang und konzentrieren sich derzeit auf den Aufbau der Datengrundlage. Die ESG-Scores, die sie bei der Kreditvergabe nutzen, haben zum Teil eine relativ geringe Aussagekraft.

Abbildung 17: Physische Gefahren führen zu Risiken für den Finanzsektor

Quelle: BaFin-eigene Darstellung, Stand: Dezember 2024

Banken und Versicherer sind teilweise durch Risikotransfers stark miteinander verbunden, insbesondere bei der Immobilienkreditvergabe und beim Schutz der besicherten Immobilien vor Naturgefahren. Die Einschätzung von Eintrittswahrscheinlichkeiten und möglichen Schäden sowie die künftige Versicherbarkeit bleiben bei Klimarisiken schwierig, da sich die Risikolage verändert und historische Daten nur begrenzt aussagefähig sind. Der Hintergrund: Oft lagern Banken Risiken an Versicherungs- und Rückversicherungsunternehmen aus. Die Versicherer reichen die Risiken teilweise auch an den Kapitalmarkt weiter. Es ist in solchen Fällen kaum nachvollziehbar, wer letztlich die Risiken trägt.

Beaufsichtigte Unternehmen müssen sich aus Sicht der BaFin umfangreich mit den physischen Risiken befassen, denn hieraus können sich kurzfristig hohe Kosten auch für Banken und Versicherungsunternehmen ergeben.

Greenwashing: Informationen oft nicht verständlich

Durch Greenwashing kann das Vertrauen in einen funktionierenden Markt beeinträchtigt werden. Das Risiko für Greenwashing ist nach wie vor hoch, da es weiterhin keine eindeutigen Definitionen zu Nachhaltigkeitseigenschaften gibt. Bei bestimmten Investitionen wird kontrovers darüber diskutiert, ob sich diese für nachhaltige Produkte eignen. Dies betrifft zum Beispiel Investitionen in Rüstungsgüter. Die BaFin empfiehlt, solche Investitionen deutlich in Produkten hervorzuheben, die als nachhaltig beworben werden. Dies würde Irreführung vorbeugen.

Derzeit sind die offengelegten Informationen zur Nachhaltigkeitswirkung von Produkten und Dienstleistungen nicht immer verständlich genug. Dies zeigte eine nicht-repräsentative Stichprobe zur Offenlegung gemäß der EU-Offenlegungsverordnung (Sustainable Finance Disclosure Regulation – SFDR), welche die BaFin 2024 durchgeführt hat: Die beaufsichtigten Unternehmen formulierten die vorvertraglichen Informationen häufig allgemein und verwendeten nicht näher erläuterte Begriffe, um die Nachhaltigkeitseigenschaften zu beschreiben.

Zudem verwendeten sie häufig ESG-Ratings, um die Eignung der Unternehmen einzuschätzen, in welche investiert wird. Diese Ratings bewerten jedoch häufig die finanziellen Klima-Risiken eines Unternehmens – also inwiefern zum Beispiel der Klimawandel das Unternehmen selbst beeinträchtigen könnte. Ob das Unternehmen positiv auf Nachhaltigkeitsaspekte einwirkt, also selbst Bemühungen beispielsweise hinsichtlich des Klimaschutzes unternimmt, spielt bei den Ratings zum Teil höchstens eine untergeordnete Rolle.

Finanzmarktteilnehmer sollten ESG-Ratings daher nicht unreflektiert übernehmen. Sie müssen verstehen, was diese Ratings darstellen und inwiefern sie geeignet sind, die Nachhaltigkeitseigenschaften eines Finanzprodukts angemessen zu bewerten.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
3. Geopolitische Umbrüche

Wirtschaftliche, politische und militärische Spannungen gehen mit erheblichen volkswirtschaftlichen Kosten einher, zum Beispiel einem Anstieg der Energiepreise und Lieferkettenproblemen, etwa aufgrund von Sanktionen. Geopolitische Risiken haben in den vergangenen Jahren wieder zugenommen, wie der entsprechende Index zeigt (siehe Abbildung 18).

Abbildung 18: Index für geopolitische Risiken

100=Durchschnitt von 1985 bis 2019; gleitender 30-Tages-Durchschnitt Quelle: Daten heruntergeladen von https://www.matteoiacoviello.com/gpr.htm am 23.12.2024, BaFin-eigene Darstellung, Stand: Dezember 2024

Geopolitische Entwicklungen: Treiber bekannter Risiken

Geopolitische Umbrüche können weitreichende Auswirkungen auf das gesamte Finanzsystem haben. Sie sind keine eigenständige Risikoart, können aber die aufsichtlich relevanten Risiken beeinflussen und auch verschärfen. So sind geopolitische Umbrüche beispielsweise zentrale Risikotreiber für das Kredit- und das Liquiditätsrisiko von beaufsichtigten Unternehmen.

Das deutsche Finanzsystem ist sehr anfällig für geopolitische Schocks. Ein Grund hierfür sind die engen internationalen Handelsverbindungen Deutschlands – die Exportquote lag 2023 bei 43,4 Prozent. Ein weiterer Grund: Der Finanzsektor selbst ist international stark vernetzt.

Im Jahr 2024 waren weltweit protektionistische und isolationistische Tendenzen zu beobachten. Dieser Trend könnte sich fortsetzen. Eine Verschärfung der geopolitischen Lage könnte sich spürbar negativ auf die deutsche Wirtschaft und damit auch auf die von der BaFin beaufsichtigen Unternehmen des Finanzsektors auswirken. Dazu kommen könnte es beispielsweise bei einem schärferen Handelsstreit zwischen wichtigen Wirtschaftsnationen oder einer kriegerischen Auseinandersetzung zwischen Staaten, die wichtig für die globalen Lieferketten sind.

Auch das Risiko der Terrorismusfinanzierung ist durch die zunehmenden geopolitischen Konflikte nochmals gestiegen.

Konflikte verlagern sich auch in die digitale Welt

Seit einigen Jahren werden geopolitische Konflikte zunehmend in den Cyber-Raum verlagert, mit einer steigenden Zahl staatlich initiierter Angriffe. Die Finanzbranche, andere Unternehmen, aber auch kritische Infrastruktur wie die Energieversorgung waren 2024 weltweit immer wieder Ziel von Cyber-Attacken. Andere Maßnahmen zielen auch darauf ab, die Bevölkerung zu verunsichern und zu desinformieren – beispielsweise durch die Verbreitung von Falschmeldungen über die sozialen Medien.

Ein weiteres geopolitisches Druckmittel: Staatliche Akteure könnten zunehmend Einfluss auf Cloud-Infrastrukturanbieter sowie Zahlungsdienstleister nehmen. Es besteht die Gefahr, dass diese Dienste bei einer Eskalation nicht mehr verfügbar sind. Dies hätte erheblich negative Auswirkungen auf den internationalen Daten- und Zahlungsmitteltransfer.

Direkte Effekte auf den Finanzsektor

Geopolitische Umbrüche können die Unternehmen des Finanzsektors direkt operativ treffen – etwa, wenn sie Ziel staatlich initiierter Cyber-Attacken werden. Dann können Geschäftsgeheimnisse und Kundendaten abfließen. Auch Angriffe auf Internetknotenpunkte oder das Stromnetz können Schäden bei den Unternehmen anrichten.

Werden Sanktionen gegenüber bestimmten Staaten verhängt, sind die Unternehmen verpflichtet, diese einzuhalten. Davon können auch Auslagerungen der beaufsichtigten Unternehmen in die entsprechenden Länder unmittelbar betroffen sein. Auch die Liquiditätssituation der Unternehmen des Finanzsektors könnte unter geopolitischen Konflikten leiden: nämlich dann, wenn beispielsweise der Zugang zu internationalen Finanzmärkten durch (auch faktische) Kapitalverkehrskontrollen eingeschränkt wird.

2024 waren die Risiken für deutsche Banken auf Grund der Vergabe von Krediten gegenüber Ländern wie China, Taiwan und Russland im Aggregat relativ gering.

Indirekte Effekte auf den Finanzsektor

Geopolitische Umbrüche können auch indirekte Effekte auf die Unternehmen des Finanzsektors haben: wenn sich dadurch das wirtschaftliche Umfeld verschlechtert und die Volatilität an den Finanzmärkten steigt.

Es besteht auch die Gefahr, dass von beaufsichtigten Unternehmen gehaltene Aktiva aufgrund geopolitischer Konflikte an Wert verlieren. Dies könnte zum Beispiel bei Krediten und Anleihen an Unternehmen der Fall sein, die durch Schutzzölle oder Einfuhrbeschränkungen belastet werden.

Diese indirekten Effekte lassen sich schwerer beziffern und prognostizieren, können jedoch gravierendere Folgen haben als die direkten Effekte. Deshalb ist es wichtig, dass die beaufsichtigten Unternehmen ein gutes Risikomanagement haben und Szenario-Analysen durchführen.

Neue Risiken durch strukturelle Anpassungen

Geopolitische Spannungen führen häufig zu strukturellen Anpassungen der Wirtschaft, des Finanzsystems und der politischen Strukturen: Es kommt zum De-Risking bis hin zum De-Coupling. Ökonomisch zielen diese Maßnahmen darauf ab, Abhängigkeiten zu verringern und Lieferketten umzugestalten. Politische Maßnahmen sind beispielsweise die Erhöhung der Verteidigungsausgaben, die Bildung von Sicherheitsbündnissen sowie ein verstärkter Ausbau der Cyber-Sicherheit. Mittelfristig kann dies die Verwundbarkeiten gegenüber geopolitischen Schocks verringern.

Allerdings führen solche Anpassungen auch zu neuen Abhängigkeiten. Wenn ganze Regionen oder Geschäftszweige unter Risikogesichtspunkten unattraktiver werden, verlagern sich Handels- und Investitionsströme – und konzentrieren sich auf weniger Länder. Dies kann zu einer geringeren Risikodiversifikation führen und die Risiken für die Finanzstabilität langfristig erhöhen.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2025

Hauptrisiken im Fokus der BaFin

1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit